Cuando la gente piensa en las APTs y en los ataques dirigidos, suele preguntarse: ¿Quién lo hizo? y ¿Qué querían? Si bien esas preguntas podrían ser interesantes, creemos que es mucho más importante preguntar: ¿Qué información sobre el atacante puede serle de ayuda a las organizaciones para protegerse mejor?
Veamos las cosas desde la perspectiva de un administrador de red que intenta defender a su organización. Si alguien desea determinar quién estaba detrás del ataque a su organización, probablemente lo primero que hará es utilizar la dirección IP para realizar pruebas y determinar la ubicación del atacante. Sin embargo, se puede decir que un ataque fue rastreado hasta un servidor web en Corea; lo que no puede decir es si el responsable de los ataques también se encargó de comprometer el servidor. ¿Qué le hace pensar a usted que el dueño del servidor va a cooperar con la investigación?
Es muy común que un atacante vaya de una máquina comprometida a otra. Usted puede remontarse tan atrás como le sea posible, pero raramente esto le dirá algo sobre el atacante. Nosotros realmente no tenemos acceso a mucha de la información del ataque a la que, digamos, tienen acceso las agencias de inteligencia. Contamos con bases de datos de código abierto, pero solo pueden llegar hasta este punto. Algunas veces los atacantes cometen errores, que es cuando podemos averiguar quiénes son, a quién se están dirigiendo, etcétera. Pero si usted está defendiendo a una organización, no puede contar con que eso vaya a suceder.
Conozca el tipo de ataque al que se está enfrentando
Eso no significa que usted deba ignorar completamente quién lo está atacando. En lugar de saber quiénes son, lo que más importa es saber lo que son capaces de hacer. Por ejemplo, si alguien lo está atacando con herramientas que cualquier script kiddie podría conseguir en algún lugar de Internet, es probable que no sea una amenaza seria. En contraste, si alguien lo está atacando con vulnerabilidades nuevas y malware bien elaborado, más vale que ponga atención.
Sus capacidades también pueden reflejar cuáles son sus intenciones. Por ejemplo, el vandalismo (como la deformación de sitios web) tiene más probabilidades de ser el objetivo de un hacktivista, no de una nación estado. Entender qué tipo de adversario está usted enfrentando le permite entender sus motivos. El objetivo más frecuente de muchos ataques, sin embargo, es robar datos. En algunas ocasiones pueden ser datos financieros que puedan monetizarse de inmediato, como la información de pagos. Algunas ocasiones puede ser información más sensible, como los secretos de su compañía.
No necesariamente tiene que ser esa brecha a través de la que se fugan grandes cantidades de datos y que termina en la página frontal de todos los sitios de noticias tecnológicas. Puede ser gradual: podría ser un backdoor dentro de su red que haya estado ahí durante meses, sacando información lentamente sin que nadie se entere. Eso es lo que muchos atacantes buscan: un flujo constante de información desde su objetivo. El acceso en sí mismo podría ser también una mercancía: imagine un anuncio en el mundo subterráneo del crimen cibernético que dice: “Por $10,000 dólares le doy acceso a la Compañía A”. Imagine si usted es el administrador de red de la Compañía A y ve eso.
Protección contra las malas intenciones
Entonces, ¿cómo se protege usted contra todo esto? Hoy la detección de brechas es de vital importancia. Aprenda a diferenciar lo que es normal y lo que no lo es dentro de su red, de modo que pueda identificar rápidamente lo que no es normal y, por tanto, lo que posiblemente sería malicioso. Usted ya no puede suponer que las defensas perimetrales serán capaces de evitar que todos los ataques alcancen a su organización; por el contrario, tiene que asumir que eventualmente se registrará un compromiso y que usted tendrá que trabajar en la detección de esa brecha tan pronto como sea posible.
Congruente con eso, debe implementarse un plan de respuesta a incidentes. En particular para las brechas serias de gran escala, es muy importante saber qué hacer, adquirir las herramientas necesarias, tener a la gente capacitada, y brindar la capacitación adecuada para que cuando ocurra un incidente importante, la gente pueda responder de acuerdo con un plan cuidadosamente pensado, en lugar de reaccionar de una manera precipitada y con pánico. Una respuesta mal preparada puede provocar un daño importante a una organización, en términos materiales y de su reputación.
Esto está sucediendo en una época en que las organizaciones reconocen la importancia de la ciberseguridad. Hace varios años, a un desafortunado administrador de sistemas– o probablemente un director de nivel medio – se le hubiera hecho responsable o hubiese sido despedido debido a un incidente de seguridad. ¿Qué sucede ahora? Los CIOs y los CISOs son despedidos debido a las brechas de seguridad. Es bueno que ahora las compañías lo tomen muy en serio, pero si usted es uno de esos CIOs o CISOs, eso no podría ser bueno para usted.
En resumen: ¿los motivos y las atribuciones importan? La atribución es interesante, pero desde el punto de vista de la defensa, los motivos interesan más. Esto moldea la manera en que los autores de las amenazas se comportan una vez que están dentro de la red – y eso a su vez, influye en la manera en que usted debe establecer sus propias defensas.
Con el fin de fortalecer su conocimiento sobre los ataques dirigidos y qué puede hacerse para defenderse de ellos, hemos lanzado la campaña Understanding Targeted Attacks (Entendiendo a los Ataques Dirigidos) en nuestro Targeted Attacks Hub donde revisamos de nuevo la definición de los ataques dirigidos. Puede consultar nuestro artículo introductorio, Entendiendo los Ataques Dirigidos: ¿Qué es un Ataque Dirigido?
Leave a Reply